acl-num/acl-name rule-id pkt-type stat-type stat-value 200 1 all byte 113700600
1.37 LACP
A)、Lacp的配置方法: 创建smartgroup组:
ZXAN(config)#interface smartgroup1
把端口以某种形式加入sarmtgroup组: ZXAN(config-if)#smartgroup 1 mode active
说明:
模式有3种:active、on、passive
Active:代表主动发送lacp协议包,进行协商 On:代表trunk模式,所有端口不进行协商
Passive:被动模式,不发送lacp,但是接收lacp包 注意:
端口加入smartgroup之前需要使其vlan信息与smartgroup的vlan信息一致,否则端口加入不进去smartgroup。
B)、配置端口的负载均衡:
在smartgroup接口下有如下几种负载均衡算法选择: ZXAN(config-if)#smartgroup load-balance ? dst-ip Dst ip address dst-mac Dst mac address src-dst-ip Src-dst ip address src-dst-mac Src-dst mac address src-ip Src ip address
1.38 UAPS功能
UAPS——Uplink Automatic Protection Switching(上联口自动保护倒换) 测试注意事项:
1)参与保护倒换的主端口和备端口数据要配置一致,UAPS功能本身不具备自动同步数据功能;
2)参与保护倒换的主端口和备端口并不是汇聚在一起形成一个汇聚组,以实现出/入负荷在汇聚组中各个成员端口中的分担,只是简单的主备关系; 1、UAPS功能命令行介绍
ZXAN(config)#uaps-group 1 ----------创建一个上联口自动保护倒换组
ZXAN(cfg-uaps-1)#port master-portlist gei_1/19/1 ?----设置一个主备端口保护组 slave-portlist Add slave portlist to UAPS group
ZXAN(cfg-uaps-1)#port master-portlist gei_1/19/1 slave-portlist ? gei_1/19 Gei interface gei_1/20 Gei interface
ZXAN(cfg-uaps-1)#port master-portlist gei_1/19/1 slave-portlist gei_1/19/2 ZXAN(cfg-uaps-1)#protect-time ? ----设置保护时间
可以对这个UAPS组设置保护时间(值得注意的是:这个保护时间有两个作用③自
动恢复时间④保护切换时间)
对于③必须使用如下命令: ZXAN(cfg-uaps-1)#revertive ?
disable Disable-----------默认情况下,为非使能状态 enable Enable-----------使能后自动恢复功能起作用 ZXAN(cfg-uaps-1)#revertive enable
对于④创建UAPS组后,便起作用(默认时间为300s);
ZXAN(cfg-uaps-1)#swap ? -------强制倒换命令,完成主备口之间的业务倒换
ZXAN(cfg-uaps-2)#no port master gei_1/19/1--------删除该UAPS组中的一对主备保护端口
ZXAN(cfg-uaps-1)#show uaps groupid 1--------查看UAPS组中详细信息 Revertive control : disable PortLight control : disable Protect-time : 10s
Next-hop : 0.0.0.0 Bfd next_hop : 0.0.0.0 Link-type : normal Link-detect-retry : 5 Link-detect-interval : 3
Link status : connected or NA Bfd Link status : connected or NA Switch-type : common port Master ports status : forwarding
gei_1/19/3 : up Slave ports status : block
gei_1/19/4 : up 2、测试实例
搭建测试环境测试(如图)
配置UAPS组1对保护端口数据: ZXAN(config)#uaps-group 1
ZXAN(cfg-uaps-1)#port master-portlist gei_1/19/1 slave-portlist gei_1/19/2
ZXAN(cfg-uaps-1)#show uaps groupid 1
Revertive control : disable ----此时自动恢复功能为非使能状态 PortLight control : disable
Protect-time : 300s ----默认为300s Next-hop : 0.0.0.0 Bfd next_hop : 0.0.0.0 Link-type : normal Link-detect-retry : 5 Link-detect-interval : 3
Link status : connected or NA Bfd Link status : connected or NA Switch-type : common port Master ports status : forwarding
gei_1/19/3 : up ----主端口 Slave ports status : block
gei_1/19/4 : up ----备端口
1.39 风暴控制配置
有时候需要用到风暴控制,已阻止系统中过大的洪泛和广播报文。
ZXAN(config)#eth-switch broadcast-limit 100 //广播报文控制在每秒100个报文以内 ZXAN(config)#eth-switch unknowncast-limit 100 //洪泛报文控制在每秒100个报文以内 ZXAN(config)#no eth-switch multicast-limit //如果有组播业务,就不要控制了,此命令为取消组播风暴控制命令,其他广播、洪泛命令与该命令类似。
带内网管口与网管服务器通信的是单播的snmp报文,因此该设置不会影响带内网管。
1.21 安全功能
1.40
anti-dos 功能 (包含了firewall blacklist子功能)
该功能用于监测外来任何类型协议报文的流量,如果进入OLT CPU的协议报文大于设定值(监测速率x监测时间间隔),则将该协议报文的源mac列入黑名单,之后该源mac来的协议报文将全部被丢弃直至流量降低到设定值以下
ZXAN(config)#control-panel *进入安全功能控制面板 ZXAN(control-panel)#?
anti-dos Set anti dos parameter cpu set cpu queue rate limit end Exit to EXEC mode
exit Exit from interface configuration mode no Negate a command or set its defaults packet-limit Configure packet limit value
show Show running system information ZXAN(control-panel)#anti-dos ?
blocking-time Set the anti-dos block time disable Set disable
drop Drop the packet that exceed the limit number
drv-limit Driver enable/disable packet limit function. enable Set enable
limit-num Set anti-dos limit number
ZXAN(control-panel)#anti-dos blocking-time ? *配置anti-dos 监测时间间隔 <1-600> block time
ZXAN(control-panel)#anti-dos enable * 配置anti-dos 使能
ZXAN(control-panel)#anti-dos drv-limit ? * 配置anti-dos 驱动层报文丢弃功能使能, 该功能可以让协议报文在进入cpu之前就被丢弃,可以显著防止CPU 占用率上升
disable Set disable enable Set enable ZXAN(control-panel)#anti-dos drop ? *配置 anti-dos 报文丢弃,该功能是在驱动层提包之后才进行报文丢弃,对防止cpu占用率上升作用不大
disable Set disable enable Set enable
blocking-time Set the anti-dos block time disable Set disable
drop Drop the packet that exceed the limit number drv-limit Driver enable/disable packet limit function. enable Set enable
limit-num Set anti-dos limit number
ZXAN(control-panel)#anti-dos limit-num ? *配置 anti-dos的监测速率 <10-1000> Limit number(unit:pps)
ZXAN(config)#show anti-dos black-table *查询anti-dos 产生的黑名单列表,该列表可以显示当前被列入黑名单的源mac地址,vlan,已经对应的端口 等信息
-------------------------------------------------------------------------
mac-address vlan port Processed Dropped
1.41 协议报文限速功能
该功能能针对不同的协议类型报文进行单独的限速或者针对全体报文进行限速 ZXAN(control) #control-panel ZXAN(control-panel)#?
anti-dos Set anti dos parameter cpu set cpu queue rate limit end Exit to EXEC mode
exit Exit from interface configuration mode no Negate a command or set its defaults packet-limit Configure packet limit value
show Show running system information
ZXAN(control-panel)#packet-limit ? * 目前的协议报文限速能针对以下几种协议报文起作用
all All packet arp ARP packet bpdu BPDU packet dhcp DHCP packet
icmp ICMP packet igmp IGMP packet pppoe PPPoE packet snmp SNMP packet vbas VBAS packet
ZXAN(control-panel)#packet-limit all ? *对所有协议报文进行统一限速,限速是在驱动层进行的,没有进cpu
<100-65535> All packet limit value(unit:pps) ZXAN(control-panel)#packet-limit arp ? *对单一类型的协议报文限速,由软件来区分协议报文类型,所以只能在软件处进行限速,协议报文之前已经进入了cpu
<1-50> ARP packet limit value(unit:pps) ZXAN(control-panel)#packet-limit bpdu ? <1-50> BPDU packet limit value(unit:pps) ZXAN(control-panel)#packet-limit dhcp ? <1-50> DHCP packet limit value(unit:pps) ZXAN(control-panel)#packet-limit icmp ? <1-50> ICMP packet limit value(unit:pps) ZXAN(control-panel)#packet-limit igmp ? <1-50> IGMP packet limit value(unit:pps) ZXAN(control-panel)#packet-limit pppoe ? <1-50> PPPOE packet limit value(unit:pps) ZXAN(control-panel)#packet-limit snmp ? <1-50> SNMP packet limit value(unit:pps) ZXAN(control-panel)#packet-limit vbas ? <1-50> VBAS packet limit value(unit:pps) 测试这个功能的时候,诸如arp,icmp等可以直接用仪表构建,如果仪表不会构建,或者构建出来的协议报文olt不认的话,可以找台电脑,开启电脑的抓包软件,抓到协议报文之后,再用软件反向冲包就可以达到目的。
查看安全功能当前的配置情况的命令,目前没有单独的命令做出来,请用以下命令查看: ZXAN(control-panel)#show running-config | begin control-panel
1.42 mff功能
该功能的全称是mac forced forwarding,实现一个arp proxy,用来禁止同一子网的两个用户间直接互通,并把用户的上行流量强制转发到网关,网关转发流量,来实现用户间的三层互通。并且网关能监控用户间的流量,防止恶意攻击。